Rusijos grėsmės veikėjai piktnaudžiavo teisėtu „OAuth 2.0“ autentifikavimo darbo eiga, kad užgrobtų „Microsoft 365“ organizacijų, susijusių su Ukraina ir žmogaus teisėmis, darbuotojų sąskaitas.
Priešininkas apsimetinėja Europos šalių pareigūnais ir susisiekia su tikslais per „WhatsApp“ ir signalų pranešimų siuntimo platformas. Tikslas yra įtikinti potencialias aukas pateikti „Microsoft“ autorizacijos kodus, kurie suteikia prieigą prie paskyrų, arba spustelėti kenksmingus nuorodas, renkančias prisijungimus ir vienkartinius prieigos kodus.
Kibernetinio saugumo įmonė „Volexity“ pastebėjo šią veiklą nuo kovo pradžios, iškart po panašios operacijos, apie kurią vasario mėn. Pranešė „Volexity“ ir „Microsoft“, kuriose įrenginio kodo autentifikavimo sukčiavimas buvo naudojamas sukčiavimui, kad pavogtų „Microsoft 365“ paskyras.
„Volexity“ seka grėsmės veikėjus, atsakingus už dvi kampanijas kaip UTA0352 ir UTA0355, ir asesses, užtikrintai, kad jie abu yra rusai.
Puolimo srautas
Šiandien paskelbtoje ataskaitoje tyrėjai apibūdina išpuolį kaip pradedant pranešimu per signalą ar „WhatsApp“. Volexity pažymi, kad vienu atveju komunikacija kilo iš pažeistos Ukrainos vyriausybės sąskaitos.
Šaltinis: Volexity
Užpuolikas apsimetinėja Europos politiniais pareigūnais arba Ukrainos diplomatais ir masalais su kvietimais į privačius vaizdo įrašų susitikimus, kad aptartų su Ukrainą susijusius reikalus.
Kai ryšio kanalas bus sukurtas, užpuolikas išsiunčia OAuth sukčiavimo URL pagal pretekstą, kad jis reikalingas prisijungti prie vaizdo skambučio.
Šaltinis: Volexity
UTA0352 gali dalytis instrukcijomis, kaip prisijungti prie susitikimo PDF failo pavidalu kartu su kenksmingu URL, sukurtu vartotojui prisijungti prie „Microsoft“ ir trečiųjų šalių programų, kuriose naudojamos „Microsoft 365 OAuth“ darbo eigos.
Po tikslinių autentių, jie yra „nukreipti į„ Visual Studio “kodo naršyklę, esančią„ Insiders.vscode.dev “,-aiškina tyrėjai.
Žemyno puslapis gali gauti prisijungimo paramonus iš „Microsoft 365“, į kurį įeina „OAuth“ ir „Target“, pamatysite žemiau esantį dialogo langą:
Šaltinis: Volexity
Naudodamas socialinę inžineriją, užpuolikas bando apgauti auką, kad atsiųstų aukščiau pateiktą kodą, apsimesdamas, kad reikia prisijungti prie susitikimo.
Tačiau eilutė yra autorizacijos kodas, galiojantis 60 dienų, kuris gali būti naudojamas norint gauti prieigos raktą „Visiems vartotojui paprastai prieinamiems ištekliams“.
„Reikėtų pažymėti, kad šis kodas taip pat pasirodė kaip URI dalis adresų juostoje. Panašu, kad„ Visual Studio “kodas buvo sukurtas taip, kad būtų lengviau išgauti ir dalytis šiuo kodu, tuo tarpu dauguma kitų atvejų tiesiog sukeltų tuščius puslapius”, – sako „Volexity“.
Tyrėjai supaprastino šią schemą. Atakos srautas, nukreiptas į vartotojus, pasikliaudami „Visual Studio“ kodo pirmosios šalies programa:
Šaltinis: Volexity
Tyrimas pažymi, kad yra senesnių neseniai sukčiavusių sukčiavimo atakų variantų, kai užpuolikas panaudojo azuread V1.0 formatą, o ne V2.0, skirtumus, susidedančius iš naudojamų URL parametrų.
Balandžio mėn. Kampanija, priskirta UTA0355, yra panaši į UTA0352, tačiau pradinis komunikacija kilo iš pažeistos Ukrainos vyriausybės el. Pašto sąskaitos, o užpuolikas naudojo „pavogtą Oauto leidimo kodą, kad užregistruotų naują įrenginį aukos„ Microsoft Entra ID “(buvęs„ Azure Active Directory “)“.
„Volexity“ tyrėjai sako, kad kai įrenginys užsiregistravo, jie turėjo įtikinti tikslą patvirtinti dviejų faktorių autentifikavimo (2FA) užklausą, kad galėtų pasiekti aukos el. Laišką.
Norint tai pasiekti, grėsmės veikėjas socialinį sukūrė savo kelią sakydamas, kad 2FA kodas yra būtinas norint „patekti į„ SharePoint “egzempliorių, susijusį su konferencija“.
Šis paskutinis žingsnis suteikia užpuolikui prieigą prie aukos informacijos ir el. Laiškų, tačiau taip pat naujai registruotą įrenginį, kad būtų išlaikyta neteisėta prieiga ilgesniam laikui.
„„ Volexity “apžvelgiamuose žurnaluose pradinė įrenginių registracija buvo sėkminga netrukus po bendravimo su užpuolimu. Prieiga prie kitos dienos esančių el. Pašto duomenų, tai buvo tada, kai UTA0355 buvo sukurtas situacijoje, kai jų 2FA užklausa bus patvirtinta“, – sako „Volexity“ tyrėjai.
Norėdami apsaugoti nuo tokių atakų, „Volexity“ pataria nustatyti įspėjimus apie prisijungimus, naudojant „Visual Studio“ kodą kliento_idblokuoti prieigą prie 'Insiders.vscode.dev„Ir”vscode-redirect.azurewebsites.net.
Tyrėjai taip pat rekomenduoja nustatyti sąlyginės prieigos politiką, kad būtų galima apriboti prieigą prie patvirtintų įrenginių.